IE-Popup mit Werbung
 

Hallo,
ich habe meinem Kumpel gesagt,der auch Probleme mit seinem PC hat,er soll sich mal das HiJackThis saugen und mir den Log geben.
Er sagt,er hat immer n Werbepopup wenn er den IE-Explorer öffnet. Hier der Log:
Logfile of HijackThis v1.99.1
Scan saved at 23:13:59, on 18.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Dokumente und Einstellungen\GAX\Eigene Dateien\Darkfix.exe
C:\Programme\Creative\ShareDLL\MEDIADET.EXE
D:\Programme\AntivirXP\AVGNT.EXE
H:\Programme\winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\valveneu\steam.exe
D:\Programme\AntivirXP\AVGUARD.EXE
D:\Programme\AntivirXP\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\WINDOWS\System32\svchost.exe
H:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Neuer Ordner\firefox.exe
H:\Downloads\Gemischt\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.et-sport.de/index.php?show=news
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.iwantsearch.com/to.php?ID1=631&ID2=24527144&ID3=M> m)"U&ID4=0&ID5={0B4A7A31-9CC4-4DD7-B777-F1BA3C9270A9}
R3 - URLSearchHook: HyperSearchHook - {37501DD3-67C5-48A4-8945-4B8EAF540C5D} - C:\Programme\Gemeinsame Dateien\Hyperbar\HyperbarSS3.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {B9B253AA-3E19-3951-CB79-2FCA1D2C7C8E} - C:\DOKUME~1\GAX\ANWEND~1\Sendsign\knobuser.exe
O2 - BHO: (no name) - {E271A60C-A3C7-3D09-9D40-342CD9F9E442} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - H:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Jet Detection] H:\Programme\sound-driver\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Gamma] C:\Dokumente und Einstellungen\GAX\Eigene Dateien\Darkfix.exe -silent
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AntivirXP\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\winamp\winampa.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\valveneu\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - H:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - H:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} - http://03.sharedsource.org/html/Tria...1.0.0.3ie.cab?
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...io5_3_18_0.cab
O16 - DPF: {F7530E43-3359-42D0-B8DC-843A45028584} (Hitelontop Control) - http://manager.ongamenet.com/common/...hitelontop.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntivirXP\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntivirXP\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo,

editiere bitte die Links, z.B. so h**p://minisearch.startnow.com/

eScan runterladen und updaten (noch nicht scannen). Anleitung am besten im pdf-Format abspeichern.
Spybot Search&Destroy, Ad-Aware und LSP-Fix (nur als Vorsichtsmaßnahme, du wirst es nicht brauchen ;)) runterladen. Spybot S&D und Ad-Aware installieren und updaten.

Starte den PC im abgesicherten Modus.

Deinstalliere, falls möglich, unseriöse Software über Systemsteuerung-> Software (z.B. Hyperbar o. New.Net).

Fixe mit HjT:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.et-sport.de/index.php?show=news
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.iwantsearch.com/to.php?ID1=631&ID2=24527144&ID3=M> m)"U&ID4=0&ID5={0B4A7A31-9CC4-4DD7-B777-F1BA3C9270A9}
R3 - URLSearchHook: HyperSearchHook - {37501DD3-67C5-48A4-8945-4B8EAF540C5D} - C:\Programme\Gemeinsame Dateien\Hyperbar\HyperbarSS3.dll

O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: (no name) - {B9B253AA-3E19-3951-CB79-2FCA1D2C7C8E} - C:\DOKUME~1\GAX\ANWEND~1\Sendsign\knobuser.exe (außer dir bekannt)
O2 - BHO: (no name) - {E271A60C-A3C7-3D09-9D40-342CD9F9E442} - (no file)

O3 - Toolbar: (no name) - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - (no file)

O4 - HKLM\..\Run: [Gamma] C:\Dokumente und Einstellungen\GAX\Eigene Dateien\Darkfix.exe -silent (außer dir bekannt)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} - h**p://03.sharedsource.org/html/Tri..._1.0.0.3ie.cab?
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - h**p://us.dl1.yimg.com/download.com...bio5_3_18_0.cab
O16 - DPF: {F7530E43-3359-42D0-B8DC-843A45028584} (Hitelontop Control) - h**p://manager.ongamenet.com/common.../hitelontop.cab

Lösche manuell:
C:\Dokumente und Einstellungen\GAX\Eigene Dateien\Darkfix.exe
C:\PROGRA~1\NEWDOT~1
C:\DOKUME~1\GAX\ANWEND~1\Sendsign\knobuser.exe
C:\Programme\Gemeinsame Dateien\Hyperbar

Scanne mit Spybot S&D und Ad-Aware. Lass' die Probleme beheben.

Scanne mit eScan.

Neustart.

Alternativen Browser wählen.

Neues HjT-Log und die Virus-Log-Information von eScan posten. Problem gelöst?


P.S.:
Falls du die Dateien nicht finden kannst, nimm bitte die folgenden Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Gut helfen kann schon
"AntiVir XP",
"Ad-Aware SE Personal",
"Spybot - Search & Destroy",
"Stinger" von McAfee und
"Trojancheck"
mit jeweils den neusten Updates (Signaturen)!

Browser:
Wenn Du auf den IE (InterNetExplorer) verzichten kannst, benutzt zukünftig einem alternativen Browser.
Beste Beispiele sind:
Mozilla 1.7.8,
FireFox 1.0.4,
K–Meleon 0.9,
Netscape 7.1 (Web-Installer),
Opera 8.00!

Persönlich würde ich zu FireFox 1.0.4 bei einem WinDoof-System raten, wenn Du schnelles surfen und downloaden bevorzugst! :daumenhoc